Negli ultimi mesi, l’industria della difesa europea è diventata bersaglio di una nuova campagna di spionaggio informatico orchestrata da attori legati alla Corea del Nord, nell’ambito dell’operazione nota come Dream Job. Questo attacco si focalizza in particolare su aziende coinvolte nel settore dei droni, riflettendo l’interesse del regime nordcoreano nell’accelerare lo sviluppo dei propri programmi UAV.
I ricercatori di sicurezza hanno identificato come obiettivo primario il furto di informazioni proprietarie e know-how industriale attraverso malware avanzati come ScoringMathTea e MISTPEN. Dal marzo 2025, sono state colpite diverse aziende europee, tra cui una società di ingegneria metalmeccanica nel sud-est Europa, un produttore di componenti aeronautici e altre realtà della difesa.
Social engineering e tecniche di infezione
La strategia usata dai cyber criminali è quella del social engineering mirato: i bersagli, spesso ingegneri e tecnici qualificati, vengono avvicinati tramite offerte di lavoro molto allettanti. Le vittime ricevono documenti con dettagli sulle posizioni lavorative, ma per leggerli sono invitate a installare un lettore PDF trojanizzato che infetta i sistemi con il malware. Questa tecnica, già vista in precedenti operazioni come Contagious Interview e Operation In(ter)ception, conferma la costanza e la pericolosità delle campagne del gruppo Lazarus.
Il gruppo Lazarus e i suoi strumenti
Il gruppo Lazarus, attivo almeno dal 2009 e conosciuto con numerosi alias tra cui APT-Q-1 e Diamond Sleet, si distingue per la capacità di adattare strumenti e tattiche, rendendo difficile l’attribuzione certa, ma mantenendo un modus operandi riconoscibile. ScoringMathTea, il principale strumento utilizzato, è un RAT sofisticato in grado di eseguire circa 40 comandi diversi per il controllo totale della macchina infetta. L’infezione può avvenire anche tramite dropper sconosciuti che rilasciano payload intermedi, aumentando la resistenza alle difese.
L’evoluzione delle catene di attacco
I malware sono distribuiti tramite catene di attacco che sfruttano anche il sideloading di DLL malevole e sofisticati downloader come BinMergeLoader, che sfruttano le API Microsoft Graph per scaricare ulteriori componenti. La campagna dimostra una notevole persistenza: per quasi tre anni, Lazarus ha mantenuto invariata la tattica di diffondere payload attraverso applicazioni open source trojanizzate, variando solo quanto basta per sfuggire ai sistemi di rilevamento.
Le implicazioni per la difesa europea
Questi attacchi sottolineano la necessità per le aziende del settore difesa di rafforzare i processi di verifica del personale, sensibilizzare i dipendenti sulle minacce di social engineering e investire in strategie di threat intelligence specifiche per contrastare tecniche sempre più evolute di cyber spionaggio.